Annexe A. Utilisation avec les jetons à preuve de possession

Avec les jetons porteurs tels que ceux définis par OAuth 2.0 Bearer Token Usage [RFC6750], la ressource protégée aura en sa possession la partie secrète entière du jeton pour soumission au service d'introspection. Cependant, pour les jetons de style preuve de possession (proof-of-possession), la ressource protégée n'aura qu'un identifiant de jeton utilisé lors de la demande, ainsi que la signature cryptographique sur la demande. Pour valider la signature sur la demande, la ressource protégée pourrait être en mesure de soumettre l'identifiant de jeton au point de terminaison d'introspection du serveur d'autorisation pour obtenir les informations de clé nécessaires pour ce jeton. Les détails de cette utilisation ne relèvent pas du domaine de cette spécification et seront définis dans une spécification d'accompagnement appropriée.